Így készülhet a HR a kiberbűnözés terjedésére
Beszélgetés a HR jövőjéről információbiztonsági nézőpontból Krasznay László informatikai és információbiztonsági tanácsadóval.
Egy FBI figyelmeztetést követően nemrég több cikk és video-podcast foglalkozott a deepfake feltűnésével a kiválasztásban. A leírások alapján csalók hamis álláskeresői profilokat hoznak létre és kihasználják a személyességet mellőző kiválasztási folyamatokat. Így sikeresen beszivárognak vállalatokhoz, hogy adatokat, innovációkat szerezzenek meg, netán zsarolást kövessenek el.
Nem kérdés, hogy ha ez előfordul, az minden eddiginél komolyabb információbiztonsági kockázatot jelent, amire fel kell készülnie a vállalatoknak, szervezeteknek.
Ez lenne az online kiválasztás hátulütője? Ezentúl nem csak megfelelő skillekre, de valódiságra is meg kell tanulnunk szűrni a jelentkezőket?
Mit tehet a HR, milyen szerepe lehet ezek megelőzésében, hogyan érdemes készülnünk ezekre a változásokra, amiket az IT biztonság elvár a szervezetektől?
Ezekről a kérdésekről beszélgettünk Krasznay László, informatikai és információbiztonsági tanácsadóval.
Hol tart most a technika?
Laci, tegyük fel, hogy munkatársat keresel a cégedbe! Te ki tudnád szűrni egy videóinterjún, ha nem valódi emberrel beszélgetsz? Milyen jelekre figyel egy profi?
KL: Manapság már igen kicsi az esélye, hogy ki tudnám szűrni.
Korábban, amikor fejletlenebbek voltak ezek a technológiák és nem tudták pl. az árnyékokat, a hátteret igazán jól kezelni, természetellenesebb volt a mimika és gesztikulálás, akkor még volt esély a csalások egyszerű szabad szemes kiszűrésére. De ma már ez általában nem segít és az emberi érzékszervekkel nem tudunk könnyen árulkodó jeleket találni egy-egy ilyen élő videóbeszélgetésben. Erre ma már persze kialakulóban vannak megfelelő automata rendszerek, amik viszont meg tudják ezt tenni jó hatásfokkal.
Tegyük a beléptetést ismét személyessé? Mi a helyzet a személyes dokumentumokkal? Ha elfogadjuk, hogy a video állásinterjún tovább is jut valaki, előbb-utóbb a beléptetéskor a személyazonosságot, végzettséget igazolnia kell. Ilyemkor nem buknak ki az eltérések?
KL: Rossz hírem van: lehetséges, egy jól előkészített átverés esetén, hogy nem buknak ki. Ennek ellenére persze nagyon is érdemes minél többféle védőgátat beépíteni a beléptetés előtti folyamatba.
Ám ha figyelembe vesszük az elérhető nyereséget, pl. egy innováció, vagy más üzleti titkok megszerzését vagy zsarolási potenciálokat, szerintem sajnos borítékolható, hogy ezek a bűnesetek egyre gyakoribbá válnak majd.
Az adathalászat szárnyalásával ugyanis viszonylag kis befektetéssel megszerezhetőek szinte bárki személyes adatai. Így valódi adatokkal élhetnek úgy vissza, hogy az adott személynek erről fogalma sincs.
Ennél azért egy fokkal nehezebb valódi szakértői profilt felépíteni, hiszen a tudományos eredményeket, publikációkat, a konferenciák előadóit már sokkal szélesebb kör ismeri. Mindenképpen hasznos ezeknek utánajárni. Szinte kizárt, hogy egy kutatás-fejlesztéssel foglalkozó vállalat saját szakértői ne ismernék a régió ugyanazon vagy hasonló területen tevékenykedő szaktekintélyeit. Ezért érdemes használni a kiválasztási folyamatban ezt a meglévő tudást is.
De azt is látni kell, hogy nem csak a speciális, magas szaktudással rendelkező kollégák dolgozhatnak kiemelt információbiztonsági hozzáférésekkel, hanem pl. egy kezdő rendszergazda is. Ilyen munkakörben máris sokkal nehezebb a fenti ellenőrzés és GDPR kifejezetten nehezíti is ezt. Referenciát is csak attól kérhetünk, akit a pályázó megnevez, szóval rosszhiszeműség esetén ezzel semmire sem megyünk.
Mindenképpen hangsúlyozzuk újra, hogy súlyos bűncselekményekről beszélünk! Ennek ellenére már magam is találkoztam hasonlókkal.
Hatalmas a rizikó
A jelenlegi, nagyvállalatoknál használatos informatikai felkészültségben mik a leggyengébb láncszemek?
KL: Sajnos azt tapasztalom, hogy sok vállalatnál még mindig nagyon alacsony az információbiztonsági tudatosság. Általában az emberek a leggyengébb láncszemek, az ő hiszékenységük és nemtörődömségük jelenti messze a legnagyobb kockázatot.
Ezt használja ki a Social engineering: a kifejezést az emberi interakciókon keresztül megvalósuló rosszindulatú tevékenységek széles körére használják. Jellemzően pszichológiai manipulációval veszik rá a felhasználókat, hogy biztonsági hibákat kövessenek el, vagy érzékeny információkat adjanak ki.
Előfordul, hogy nem különböztetik meg a felhasználói szinteket, vagy egyik terület eléri a másik osztály minden adatát, amikre valójában nincs szükségük a munkájukhoz. Ez is kiváló terep visszaélésekre.
Néha még kiemelt felhasználók is túl könnyen kiadják a jelszavaikat. Ezeknek a megszerzésével már legtöbbször beállítható kiemelt hozzáférés bárkinek. Így nem csak a béradatok, de minden személyes adat is publikussá válhat például, ha a HR-re vetítjük ezt az incidenst.
Mekkora kárt tud egy információbiztonsági rés okozni? Volt mostanában Magyarországon ilyen példa, amire fény derült?
KL: A kár nagyságról nehéz általánosságot mondani, de gondolj egy nagy számra, annak a sokszorosát akár. Képzeld el, ha egy 10-15 éve tartó biotechnológiai vagy mérnöki fejlesztést a szabadalmaztatás előtt megszerez valaki más és beadja a saját szabadalmaként!
De ha az értékesítésben gondolkodunk, vajon mekkora kárt okozna pl. egy pénzügyi szolgáltatónak, ha konkurensek megszereznék az ügyfél- és a befektetési adataikat?
Igen, volt Magyarországon is hangos információbiztonsági, adatvédelmi és informatikai biztonsági incidens is. Hadd ne említsek konkrét példát, egy egyszerű internetes kereséssel ennek bárki utánanézhet.
Így készülhet fel a HR az új szerepre
Miben látod a HR szerepét és felelősségét az alkalmazottak információbiztonság-tudatosságának emelésében?
KL: Fontos a példamutatás. Hasznos, ha az új belépők azt látják, hogy már az onboarding folyamán a HR-es rendszeresen lezárja a gépét, amikor otthagyja, betekintésvédőt használ. Az információbiztonsági tudatosság és ennek oktatása általában már az onboarding folyamatnál, a céges IT-eszközök átvételekor megtörténik, de ez nem elég. Az éberség szinten tartása rendszeres ismétlést kíván.
Szerencsés, ha ezt nem száraz, unalmas tananyaggal és vizsgákkal tesszük, hanem pl. interaktív kisfilmekkel, akár egy támadást szimulálva és utána közösen feldolgozva a tanulságokat. Ki gondolna rá, hogy egy takarító vagy egy informatikai támogató mekkora kárt okozhat, ha valójában nem is az, akinek mondja magát?
És még egy hasznos tanács: ha netán megtörténik egy információbiztonsági incidens, pl. egy munkatársnak ellopják a laptopját a reptéren, szintén érdemes legalább a vállalaton belül a leszűrt tanulságokat publikussá tenni, pontosan mi történik ilyen esetben, mi mindenre hat ez ki, mekkora becsült kockázatot jelent ez anyagilag a vállalatnak. Legtöbben nem is gondolnak ezekre, miért is gondolkodnának ezen? Ebben is szükség lehet a HR aktivitására.
Mit tanácsolsz, mire érdemes már most elkezdeni felkészülni a jövőorientált HR csapatoknak? Milyen készségekre lesz szükségük a technikai fejlődés és annak visszaélés-szerű felhasználói miatt?
KL: Rendszeresen, de különösen szervezetfejlesztési változások során újra kell gondolni akár mátrix-rendszerekben is a felhasználók jogosultság és hozzáférés szintjét. Mindenki kizárólag ahhoz férjen hozzá, ami vállalati szinten publikus és/vagy a munkájához feltétlenül szükséges. Ebben az informatikának, a HR-nek és a szakterületek vezetőinek folyamatosan és szorosan együtt kell működnie.
Ne fordulhasson az elő, hogy a HR tudta nélkül bekerül valaki akár alvállalkozóként a szervezetbe és ez által a rendszerbe!
Érdemes a munka- és alvállalkozói szerződésekbe beleépíteni az egyéni felelősségre vonhatóságot és élni is vele, ha megtörténik a baj és ezt a hanyagság vagy szándékosság okozta. Ilyenkor is legyünk transzparensek! Legyen mindenkinek nyilvánvaló, hogy a cég ezt komolyan veszi és nem eltussolja. Természetesen az adott kollegának is legyen lehetősége megvédenie magát az esetleges hibás következtetésektől.
Az információbiztonsági tudatosságot pedig folyamatosan ébren kell tartani munkatársi és vezetői szinten is. Minitréningek, gyors tesztek, közvetlen felettesek figyelme együtt hatásos igazán. Sokszor elég, ha csak szólunk a kollégának, hogy a buszon ne legyen már látható a neve a cégemblémás belépőkártyán.
És nem utolsó sorban, a kiválasztási folyamatokat ebből a szempontból is újra kell gondolni. Nem cél, és sok nemzetközi szervezetben nem is megoldható a visszatérés a személyes interjúkhoz. Lehet, hogy segít és talán újra fontossá válik a kiválasztási szakemberek „hatodik érzéke”, hogy megérezzék, ha valami nincs rendben.
De a rossz hír az, hogy a mesterséges intelligencia ellen csak másik MI igazán esélyes, hisz valódi esély csak kód-szinten van kiszűrni a deepfake technikát. Nem tudom, hogy a kiválasztásban használt rendszerek mikor lesznek képesek ezt alapértelmezett funkcióként használni.
